Over Pass the Hash/Pass the Key
Υπέρβαση του Hash/Παράδοση του Κλειδιού (PTK)
Η επίθεση Υπέρβαση του Hash/Παράδοση του Κλειδιού (PTK) σχεδιάστηκε για περιβάλλοντα όπου το παραδοσιακό πρωτόκολλο NTLM είναι περιορισμένο και η πιστοποίηση Kerberos έχει προτεραιότητα. Αυτή η επίθεση εκμεταλλεύεται το hash NTLM ή τα κλειδιά AES ενός χρήστη για να ζητήσει εισιτήρια Kerberos, επιτρέποντας την μη εξουσιοδοτημένη πρόσβαση σε πόρους εντός ενός δικτύου.
Για την εκτέλεση αυτής της επίθεσης, το αρχικό βήμα περιλαμβάνει την απόκτηση του hash NTLM ή του κωδικού πρόσβασης του λογαριασμού του στόχου. Μετά την ασφαλή απόκτηση αυτών των πληροφοριών, μπορεί να ληφθεί ένα εισιτήριο παραχώρησης εισιτηρίων (TGT) για τον λογαριασμό, επιτρέποντας στον εισβολέα να έχει πρόσβαση σε υπηρεσίες ή μηχανές στις οποίες ο χρήστης έχει δικαιώματα.
Η διαδικασία μπορεί να ξεκινήσει με τις ακόλουθες εντολές:
Για σενάρια που απαιτούν AES256, η επιλογή -aesKey [AES key]
μπορεί να χρησιμοποιηθεί. Επιπλέον, το αποκτηθέν εισιτήριο μπορεί να χρησιμοποιηθεί με διάφορα εργαλεία, συμπεριλαμβανομένων των smbexec.py ή wmiexec.py, διευρύνοντας το πεδίο της επίθεσης.
Τυπικά, τα προβλήματα που αντιμετωπίζονται όπως PyAsn1Error ή Το KDC δεν μπορεί να βρει το όνομα λύνονται με την ενημέρωση της βιβλιοθήκης Impacket ή τη χρήση του ονόματος του υπολογιστή αντί για τη διεύθυνση IP, εξασφαλίζοντας συμβατότητα με το Kerberos KDC.
Μια εναλλακτική ακολουθία εντολών χρησιμοποιώντας το Rubeus.exe αποδεικνύει ένα άλλο προσόν αυτής της τεχνικής:
Αυτή η μέθοδος αντικατοπτρίζει την προσέγγιση Pass the Key, με έμφαση στην απαγωγή και χρήση του εισιτηρίου απευθείας για σκοπούς πιστοποίησης. Είναι κρίσιμο να σημειωθεί ότι η έναρξη μιας αίτησης TGT ενεργοποιεί το συμβάν 4768: Ζητήθηκε ένα εισιτήριο πιστοποίησης Kerberos (TGT)
, σημαίνοντας μια χρήση RC4-HMAC από προεπιλογή, αν και τα μοντέρνα συστήματα Windows προτιμούν το AES256.
Για να συμμορφωθείτε με τη λειτουργική ασφάλεια και να χρησιμοποιήσετε το AES256, μπορεί να εφαρμοστεί η ακόλουθη εντολή:
Αναφορές
Last updated